Nouveau certificat de sécurité

Créé le 15. January 2019, 14:30 | Catégorie: Info

Chères clientes Posteo, chers clients Posteo,

dans les jours qui viennent, nous allons actualiser notre certificat de sécurité principal. Les certificats de sécurité ont une validité limitée dans le temps et doivent être renouvelés de temps à autre. C’est pourquoi nous allons l’échanger d’ici le 21/01/2019.

Dans la plupart des cas, vous n’allez même pas le remarquer.
Tous les programmes tels que Thunderbird ou Outlook trouvent le nouveau certificat automatiquement. Vous n’avez rien à faire. Si votre programme vous signale cependant une erreur de certificat au cours de l’échange, veuillez redémarrer votre programme – cela devrait corriger l’erreur.
#more#
Si vous souhaitez régler la confiance accordée au certificat manuellement, vous trouverez ci-dessous l’empreinte du nouveau certificat principal que nous allons bientôt utiliser. Vous trouverez également les empreintes complètes de tous les certificats sur notre page Mentions légales

Nouvelles empreintes du certificat de sécrité TLS pour posteo.de :

Geotrust:
SHA256: 4D:BE:FA:8D:28:6A:D3:73:85:A1:B9:3F:77:D0:5F:E9:70:DD:BF:91:B6:0B:66:3A:1E:4B:C0:3D:4F:71:90:D0
SHA1: 73:4A:26:46:D0:A3:95:1D:52:88:83:F4:12:E9:CA:35:67:8A:6A:07
MD5: BD:6F:47:5C:8E:A9:82:87:E1:DC:A1:7C:07:85:95:A7

Bien cordialement,
l’équipe Posteo

Cartographier pour les organisations humanitaires : Missing Maps accueilli au Lab Posteo

Créé le 23. August 2018, 15:17 | Catégorie: Blog

Cartographier le Nigeria depuis Kreuzberg : cela s’est bel et bien déroulé dans notre Lab Posteo à Berlin le 14 août dernier. Un nouveau groupe Missing Maps y a organisé son premier Mapathon allemand. Lors de Mapathons, des volontaires sont guidés pour améliorer des cartes en ligne en entrant par exemple des villages et des rues sur des photographies prises par satellite. Lors d’évènements organisés par Missing Maps, des améliorations sont apportées à des cartes OpenStreetMap de régions en crise. Ainsi, des organisations humanitaires peuvent notamment prévoir leurs interventions de façon plus efficace. #more#

Le projet Missing Maps est un projet humanitaire créé en 2014 par la “Croix-Rouge” américaine et britannique, par la “Humanitarian OpenStreetMap Team” (équipe humanitaire d’OpenStreetMap) et “Médecins Sans Frontières”. Depuis, Missing Maps organise régulièrement des Mapathons dans différents pays européens. Environ 17 personnes ont participé à la première édition allemande dans le Lab Posteo.
#more#
Des photographies de l’État du Niger, à l’Ouest du Nigeria, prises par satellite, étaient au cœur de l’évènement organisé à Berlin. Actuellement, les équipes d’une organisation humanitaire qui ont besoin de cartes plus précises de la région pour leur travail y sont actives.

Le Mapathon a débuté par une introduction détaillée. Marcel Werdier, de l’organisation Missing Maps, a expliqué lors d’une présentation illustrative comment la cartographie fonctionne, a montré quels programmes étaient nécessaires et a détaillé aux bénévoles quelles étaient les règles les plus importantes de la cartographie.

Après la présentation, les participantes et participants ont pu mettre directement en pratique ce qu’ils ont appris et commencer la cartographie sur l’ordinateur qu’ils avaient ramené. Ils ont visualisé des photographies par satellite et ont dessiné en quelques clics des rues et des villages. L’équipe de Missing Maps a aidé les participantes et participants et a répondu aux questions posées.

Enfin, une présentation finale a eu lieu. Elle a permis aux bénévoles de visualiser les améliorations qui ont été apportées aux cartes. Grâce aux connaissances qu’ils ont acquises, ils peuvent désormais continuer à cartographier à titre privé.

L’équipe de Missing Maps était satisfaite de la première allemande de son Mapathon. Il est prévu d’organiser d’autres soirées de ce type à Berlin.

Le contexte :
Nous souhaitons contribuer à renforcer l’engagement citoyen : pour cela, nous mettons régulièrement et gratuitement à disposition le Lab Posteo à des associations et organisations à but non lucratif. Pour nous, il est important que ces évènements correspondent à Posteo et aux thèmes qui lui sont chers : le développement durable, la technologie, la démocratie, l’open source, la politique relative à Internet, la sécurité informatique et la protection des données. Si cela vous intéresse, n’hésitez pas à nous envoyer une demande a l’adresse veranstaltungen@posteo.de.

Posteo est financé à 100 % par les contributions de ses utilisatrices et utilisateurs. Vous aussi, vous rendez notre engagement citoyen possible, c’est pourquoi nous aimerions en profiter pour vous remercier ici.

Remarque relative à la transparence : nos dons pour l'année 2017

Créé le 12. July 2018, 15:15 | Catégorie: Blog

Chères clientes, chers clients,
chers intéressés,

nous souhaiterions faire une remarque relative à la transparence : nous avons actualisé notre page de dons. Nous y affichons quelles organisations nous avons soutenues financièrement l’année dernière (2017).

L’année dernière, nous avons fait don, en tout, de 34.600,00 €, dont 33.022,05 € étaient des dons volontaires par l’entreprise Posteo. Les 1.577,95 € restants proviennent du crédit des boîtes mail résiliées que les propriétaires ont donné à Posteo.
Par rapport à l’année précédente, nous avons pu augmenter nos dons de 5.000 € en 2017.

Nous pensons qu’il est important de nous engager dans la société et d’agir en tant qu’entreprise responsable. C’est pour cela que nous soutenons des organisations que nous avons sélectionnées dans les domaines de la protection du climat et de l’environnement, de la politique relative à Internet et de la liberté d’expression, ou encore de l’aide aux réfugiés. #more#

Ont été soutenus en 2017 :

BUND :
La Fédération pour l’Environnement et la Protection de la Nature Allemagne (BUND) est l’une des plus grandes associations de protection de l’environnement allemandes. Dans toute l’Allemagne, il y a plus de 2 000 groupes BUND bénévoles qui s’engagent notamment pour l’environnement dans leur région. De plus, le BUND s’engage pour la protection du climat, pour une agriculture écologique ainsi que pour la protection des espèces menacées, des forêts et des eaux. Le BUND est le membre allemand du réseau international de protection de l’environnement « Friends of the Earth ».

La Croix-Rouge allemande :
La Croix-Rouge allemande (Deutsches Rotes Kreuz, DRK) est l’une des plus importantes associations caritatives allemandes. La DRK est active dans le monde entier et peut être présente, en coopération avec ses organisations partenaires, dans tous les coins de la planète. Étant donné les dangers liés au changement climatique, la DRK a, en coopération avec le ministère des Affaires étrangères allemand, mis en place plusieurs projets visant à aider les personnes à surmonter les effets du changement climatique au niveau international. Nos dons s’adressent à un projet dans la zone amazonienne du Pérou. Là-bas, 1,3 millions de personnes sont gravement menacées par l’augmentation du nombre de catastrophes climatiques due au changement climatique. Grâce à ces dons, des maisons résistantes sont construites sur des plate-formes surélevées. De plus, des couvertures et des kits d’hygiène sont distribués et un service sanitaire est mis en place.

ECCHR :
Le Centre Européen pour les Droits Constitutionnels et de l’Homme (ECCHR) s’engage pour les droits de l’Homme au niveau juridique. L’objectif des avocats du ECCHR est d’engager des procédures judiciaires contre des acteurs étatiques et non-étatiques pour des atteintes graves aux droits de l’Homme. L’ECCHR a été fondé en 2007, notamment par l’avocat des droits de l’Homme Wolfgang Kaleck qui représente le lanceur d’alerte Edward Snowden en Allemagne.

netzpolitik.org :
netzpolitik.org est une plate-forme journalistique pour les libertés numériques et reflète les débats et évolutions politiques importants autour d’Internet. Cette plate-forme rassemble des informations sur la façon dont la politique influe sur Internet et la société par le biais de la régulation et de l’introduction continuelle de lois de surveillance. Avec ce travail, Netzpolitik.org souhaite inciter les citoyens à s’engager pour leurs libertés et une société ouverte.

Reporters sans frontières :
Reporters sans frontières s’engage mondialement pour la liberté de la presse et de l’information. Cette organisation documente les atteintes à la liberté de la presse et soutient les journalistes en danger. Reporters sans frontières se bat contre la censure et les lois restreignant la liberté des médias.

L’aide aux réfugiés de l’ONU :
L’aide aux réfugiés de l’ONU (UNO-Flüchtlingshilfe) est la branche allemande de l’Agence des Nations Unies pour les réfugiés (UNHCR). Elle assure la survie des personnes en fuite et en situation de crise aiguë, par le biais d’une aide humanitaire d’urgence. Ainsi, l’UNO-Flüchtlingshilfe se charge par exemple de fournir suffisamment d’eau, de nourriture et de médicaments aux camps de réfugiés ou aux régions difficiles d’accès.

De plus, Posteo était sponsor de la fondation du journal allemand taz, taz.panterstiftung en 2017.

Posteo fonctionne de façon durable et indépendante : notre service est financé uniquement par les paiements des boîtes mail par nos clients. Chez Posteo, il n’y a ni investisseurs, ni annonceurs.
C’est pourquoi vous êtes ceux qui nous permettent de nous engager – et qui font ainsi la différence. Nous vous remercions pour cela.

Bien cordialement,
l’équipe Posteo

Mise à jour : informations sur les annonces « efail »

Créé le 14. May 2018, 18:40 | Catégorie: Blog

Actualisation du 15 Mai à 15h30 :

Nous avons une nouvelle pour toutes les utilisatrices et tous les utilisateurs de Mailvelope :
L’extension de chiffrement open source Mailvelope n’est pas concernée par les failles critiques efail et peut encore être utilisée. C’est ce qu’a annoncé Mailvelope cet après-midi. Avec Mailvelope, PGP peut encore être utilisé dans la messagerie en ligne Posteo. Nous sommes en contact avec le développeur de Mailvelope, Thomas Oberndörfer.
Il a cependant annoncé que l’approche de l’extension avec les e-mails HTML serait améliorée du point de vue de la protection des données et que, par exemple, le téléchargement de contenus distants comme les images serait rendu optionnel.
Il conseille aux utilisateurs de mettre à jour le module à la version 2.2.2 sortie aujourd’hui qui règle quelques problèmes annexes.

14 Mai 18h40 :

Chères utilisatrices et chers utilisateurs de Posteo,

aujourd’hui, les médias ont fait part de failles de sécurité au sein des standards de chiffrement de bout en bout PGP et S/MIME.

Nous n’avons eu connaissance de ces recherches qu’aujourd’hui. Par conséquent, nous ne pouvons pas encore évaluer définitivement cette publication. Nous examinons actuellement le document pour vous, demandons l’avis d’experts en sécurité et avons également pris contact avec les développeurs de logiciels de chiffrement courants.

Nous souhaitons répondre brièvement aux questions qui nous ont été posées et donner quelques conseils pour les utilisateurs de PGP et S/MIME. Dès que nous en saurons plus, nous actualiserons cet article de blog.

En bref :
1.) Si vous n’utilisez pas le chiffrement de bout en bout avec PGP ou S/MIME, ce sujet ne vous concerne pas.
2.) Si vous utilisez PGP ou S/MIME, bloquez l’exécution du code HTML et le téléchargement de contenus distants (vous trouverez des instructions à ce sujet à la fin de cet article de blog).
3.) Tous les participants d’une communication chiffrée doivent mettre en place les mesures décrites dans la partie 2.).
#more#

« Le chiffrement des e-mails » n’est-il désormais plus sûr ?

Non, cette généralité n’est pas correcte. En effet, « le seul et unique » chiffrement des e-mails n’existe pas. De nos jours, les e-mails sont généralement sécurisés par la combinaison de différentes technologies de sécurité et de chiffrement. Par exemple, le chiffrement de bout en bout ne protège pas la totalité de la communication par e-mail, même si ceux qui le croient sont nombreux : il ne protège que les données de contenu.
Les métadonnées et l’objet sont protégés par le chiffrement lors de l’acheminement pourvu par les fournisseurs.

La sécurité d’une communication par e-mail dépend ainsi de la combinaison de différentes technologies. Si une technologie de chiffrement est considérée de façon isolée, cela dit en pratique peu de la sécurité effective d’une communication par e-mail donnée.

Une attaque n’est possible que dans des conditions restreintes

Ceux qui ont élaboré cette recherche présupposent dans leur scénario que l’agresseur a déjà accès à la communication chiffrée. Cependant, les fournisseurs de messagerie utilisent aujourd’hui des technologies de sécurité capables d’empêcher efficacement les attaques de « l’homme du milieu » et les accès non autorisés aux communications chiffrées.

L’Office fédéral pour la sécurité en matière de technologies de l’information (BSI) (lien en allemand) écrit, lui aussi, au sujet des conditions nécessaires à l’attaque :
« Pour pouvoir exploiter la faille, un agresseur doit avoir accès au transport, au serveur de messagerie ou à la boîte mail du destinataire. »

Le fait est que les fournisseurs sécurisent aujourd’hui de mieux en mieux le transport, les serveurs de messagerie et les boîtes mail – chez nous, cela reflète l’état actuel de la technique. Les utilisateurs doivent également bien sécuriser leurs terminaux.
Un exemple concernant le transport : en 2014, nous étions le premier fournisseur à introduire la technologie innovante DANE qui corrige les failles courantes du chiffrement à l’acheminement. La combinaison d’un chiffrement de bout en bout et d’un chiffrement à l’acheminement utilisant DANE confère un très haut niveau de protection.
Astuce : Dans la messagerie en ligne Posteo, il est indiqué avant l’envoi d’un e-mail si votre e-mail chiffré est protégé par DANE.

Nous protégeons les serveurs de messagerie à l’aide de plusieurs technologies et d’une infrastructure qui protège notre réseau interne et les boîtes mail des clients d’attaques extérieures de façon très conséquente. Vous pouvez protéger votre boîte mail avec un mot de passe fort et nous chiffrons chaque accès à votre boîte mail à l’aide des toutes dernières technologies.
Vous atteignez un niveau de protection encore plus haut si vous activez l’authentification à deux facteurs combiné à la protection supplémentaire de la boîte mail. Avec la garantie de l’envoi par TLS, vous empêchez le fait que vos e-mails soient transmis sans chiffrement à l’acheminement à d’autres serveurs de messagerie.

Le BSI fait également état d’une autre condition pour l’attaque :
« De plus, les contenus actifs doivent être autorisés du côté du destinataire, c’est-à-dire l’exécution du code html et en particulier le téléchargement de contenus distants. »

C’est pourquoi les utilisateurs de chiffrement de bout en bout doivent immédiatement vérifier dans leurs paramètres si l’exécution du code HTML et le téléchargement de contenus externes sont activés et, le cas échéant, changer cela. Cela devrait très probablement écarter les menaces sérieuses.

Instructions pour bloquer le téléchargement de contenus externes/l’exécution du code HTML

Thunderbird :
Désactiver l’affichage HTML
1. Dans Thunderbird, cliquez en haut à droite sur le bouton de menu.
2. Cliquez sur « Affichage ».
3. Dans « Corps du message en », choisissez l’élément de menu « texte seul ».
Désactiver les contenus externes
1. Dans Thunderbird, cliquez en haut à droite sur le bouton de menu et ouvrez les « Options ».
2. Ouvrez l’élément de menu « Vie privée ».
3. Dans la rubrique « Contenu des messages », ôtez la croix devant « Autoriser le contenu distant dans les messages ».

Apple Mail :
1. Cliquez dans la barre de menu sur « Mail » puis ouvrez les « Préférences ».
2. Ouvrez l’élément de menu « Présentation ».
3. Ôtez la croix devant « Charger le contenu distant des messages ».

iOS :
1. Ouvrez les « Réglages ».
2. Tapez sur « Mail ».
3. Dans la rubrique « Messages », désactivez l’interrupteur à côté de « Charger les images ».

Outlook :
1. Cliquez sur « Fichier » puis dans le menu latéral sur « Options ».
2. Ouvrez l’élement de menu « Centre de gestion de la confidentialité » puis cliquez sur « Paramètres du Centre de gestion de la confidentialité ».
3. Cliquez sur « Sécurité de messagerie électronique ».
4. Dans la rubrique « Lire comme texte brut », cochez « Lire tous les messages standard au format texte brut » et « Lire tous les messages électroniques signés numériquement au format texte brut ».
5. Confirmez le changement en cliquant sur « Ok ».

Bien cordialement,
l’équipe Posteo

Failles de sécurité : ce que tous les utilisateurs de Thunderbird devraient faire dorénavant

Créé le 10. January 2018, 18:00 | Catégorie: Blog

À l’occasion d’un audit de sécurité de Thunderbird et Enigmail commandé par Posteo et le Mozilla SOS Fund, des failles de sécurité graves ont été constatées dans Thunderbird. Ces dernières mettent en danger la confidentialité de vos communications par e-mail et, le cas échéant, la sécurité des données sensibles sur vos appareils.

Les utilisateurs de Thunderbird chez tous les fournisseurs, comme par exemple Gmail, gmx.fr ou free.fr, sont concernés.

Quelques uns des problèmes ont déjà pu être résolus – cependant, la plupart des améliorations seront seulement disponibles dans les versions suivantes.
De plus, des problèmes se présentent dans l’architecture du système d’extensions Thunderbird. La mise en place des modifications nécessaires dans l’architecture de Thunderbird prendra un certain temps.
#more#

C’est pourquoi nous demandons à tous les utilisateurs de Thunderbird de prendre en compte les recommandations de sécurité suivantes :

  • Actualisez Thunderbird dans ses versions les plus récentes, dès que celles-ci sont disponibles. Les nouvelles versions répareront diverses failles constatées dans l’audit.
  • Autant que possible, utilisez Thunderbird sans extensions/plugins ou seulement avec celles qui ont été contrôlées récemment jusqu’à ce que l’architecture d’extensions de Thunderbird soit améliorée. Actuellement, l’utilisation d’extensions/plugins pouvant être compromis est susceptible de nuire à la confidentialité de vos communications et à d’autres données sensibles sur vos appareils.
  • Jusqu’à nouvel ordre, n’utilisez aucun flux RSS dans Thunderbird. Des problèmes de sécurité graves qui mettent en danger la confidentialité de vos communications (chiffrées de bout en bout) ont été constatés.
  • Veillez à ne pas installer par mégarde des extensions par hameçonnage qui vous exposent à un risque d’attaque.

Si vous suivez ces recommandations de sécurité simples, vous communiquerez déjà de façon beaucoup plus sûre.

Si vous utilisez l’extension Enigmail de Thunderbird : actualisez immédiatement Enigmail à sa nouvelle version 1.9.9. Cette version répare toutes les failles repérées par l’audit dans Enigmail.

Bien cordialement,
l’équipe Posteo